Archiwa autora: Dominik

MikroTik – konfiguracja serwera VPN (L2TP + IPSec)

W artykule opisana jest konfiguracja serwera VPN w systemie MikroTik RouterOS. Oto konfiguracja routera:

Konfiguracja interfejsów sieciowych:
interfejs WAN: ether2wan – pppoe-out1
interfejs LAN: ether3lan – 192.168.5.1/24

Dane dostępowe dla klienta VPN:

IPsec secret: hasloIPSec
PPP user: PPPuser
PPP secret password: hasloPPP
pula adresów IP przeznaczonych dla klientów L2TP:  192.168.2.10-192.168.2.20 (pula o nazwie vpn-clients)

Konfigurację można przeprowadzić w ośmiu krokach:

  1. Odblokowanie portów w zaporze, aby router zezwalał na przychodzące połączenia klientów poprzez tunel:
    /ip firewall filter
    add action=accept chain=input dst-port=500 protocol=udp
    add action=accept chain=input dst-port=1701 protocol=udp
    add action=accept chain=input dst-port=4500 protocol=udp
    add action=accept chain=input protocol=ipsec-esp
    add action=accept chain=input protocol=ipsec-ah
  2. Konfiguracji puli adresów IP dla klientów VPN o nazwie vpn-clients:
    /ip pool
    add name=vpn-clients ranges=192.168.2.10-192.168.2.20
  3. Utworzenie profilu klienta PPP o nazwie L2TPClients:
    /ppp profile
    add change-tcp-mss=yes dns-server=192.168.5.1,194.204.159.1 local-address=192.168.5.1 name=L2TPClients remote-address=vpn-clients
  4. Włączenie serwera L2TP
    /interface l2tp-server server
    set authentication=mschap2 default-profile=L2TPClients enabled=yes ipsec-secret=hasloIPSec use-ipsec=yes
    set max-mtu=1450
    set max-mtu=1450
  5. Konfiguracja IPSec:
    /ip ipsec proposal
    set [ find default=yes ] enc-algorithms=aes-256-cbc,3des pfs-group=none
  6. Konfiguracja istniejącego – predefiniowanego profilu IPSec „default”
    /ip ipsec peer profile
    set name="default" hash-algorithm=sha1 enc-algorithm=aes-128,3des dh-group=modp2048,modp1024 lifetime=1d
    proposal-check=obey nat-traversal=yes dpd-interval=2m dpd-maximum-failures=5
  7. Utworzenie konta PPP
    /ppp secret
    add name=PPPuser password=hasloPPP profile=L2TPClients service=l2tp
  8. Konfiguracja NATu tak, aby klient VPN miał połączenie z siecią Internet wykorzystując adres IP routera – serwera VPN.
    /ip firewall nat
    add action=masquerade chain=srcnat comment=\
    "maskarada dla klientow VPN L2TP IPSec" out-interface=pppoe-out1 \
    src-address=192.168.2.0/24

Połączenie klienckie VPN L2TP+IPSec można skonfigurować m.in. we wbudowanym kliencie systemu Windows 7/10 lub używając darmowego klienta firmy DrayTek: https://www.draytek.com/products/smart-vpn-client/

Źródło:
http://mikrotikacademy.pl/mikrotik-vpn-l2tpipsec-ms-windows-step-by-step/
https://www.youtube.com/watch?v=j37Tm1wdvzM

Diagnostyka dysku twardego

Dobrymi programami służącymi do diagnostyki dysku twardego są:

  1. Crystal Disk Info: http://crystalmark.info/software/CrystalDiskInfo/index-e.html
  2. Smartmontools: https://www.smartmontools.org/
  3. TestDisk: http://www.cgsecurity.org/wiki/TestDisk
  4. Victoria: http://files.hddguru.com/download/Software/Victoria%20For%20Windows/
  5. MHDD: http://hddguru.com/software/2005.10.02-MHDD/

Uruchamianie programów z uprawnieniami administracyjnymi.

cmd -> runas /user:admin cmd

Control panel tool             Command
   -----------------------------------------------------------------
   Accessibility Options          control access.cpl
   Add New Hardware               control sysdm.cpl add new hardware
   Add/Remove Programs            control appwiz.cpl
   Date/Time Properties           control timedate.cpl
   Display Properties             control desk.cpl
   FindFast                       control findfast.cpl
   Fonts Folder                   control fonts
   Internet Properties            control inetcpl.cpl
   Joystick Properties            control joy.cpl
   Keyboard Properties            control main.cpl keyboard
   Microsoft Exchange             control mlcfg32.cpl
      (or Windows Messaging)
   Microsoft Mail Post Office     control wgpocpl.cpl
   Modem Properties               control modem.cpl
   Mouse Properties               control main.cpl
   Multimedia Properties          control mmsys.cpl
   Network Properties             control netcpl.cpl
                                  NOTE: In Windows NT 4.0, Network
                                  properties is Ncpa.cpl, not Netcpl.cpl
   Password Properties            control password.cpl
   PC Card                        control main.cpl pc card (PCMCIA)
   Power Management (Windows 95)  control main.cpl power
   Power Management (Windows 98)  control powercfg.cpl
   Printers Folder                control printers
   Regional Settings              control intl.cpl
   Scanners and Cameras           control sticpl.cpl
   Sound Properties               control mmsys.cpl sounds
   System Properties              control sysdm.cpl

źródło:

https://support.microsoft.com/en-us/kb/192806

Wyłączenie aktualizacji i powiadomień JAVA

Aby wyłączyć aktualizacje i powiadomienia o aktualizacji JAVA w systemie Windows 7 x64, należy zmienić wartości rejestru:

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\JavaSoft\Java Update\Policy\jucheck]
„NotifyDownload”=dword:00000000
„NotifyInstall”=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\JavaSoft\Java Update\Policy]
„EnableJavaUpdate”=dword:00000000

Zdalne połączenie z Windowsem 7 za pomocą psexec

Aby możliwe było połączenie ze zdalnym komputerem z Windowsem 7, należy na nim dodać do rejestru następującą wartość:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"LocalAccountTokenFilterPolicy"=dword:00000001

PowerShell remoting

Wymagania dot.  zdalnego połączenia przez PS:

  1. Otwarte porty: WSMan: 5985. Jeżeli połączenie ma się odbywać przez SSL, otwarty również port 5986;
  2. Sieć nie publiczna: Prywatna lub Domenowa;
  3. Uruchomiona usługę WinRM, skonfigurować uruchamianie w auto starcie;
  4. Utworzony Listenera dla adresu IP lub nazwy komputera.

Uruchomienie PS Remoting na komputerach pracujących w domenie:

  1. Konfiguracja auto startu usługi:
    Computer Configurations / Windows Settings / Security Settings / System Services / Windows Remote Management (WS-Management),
  2. Konfiguracja Listenera:
    Computer Configurations / Administrative Templates / Windows Components / Windows Remote Managament (WinRM) / WinRM Service
    Opcja skonfigurowana na Enable, w miejscu IPv4 filter gwiazdka (*)
  3. Konfiguracja zapory sieciowej:
    Computer Configurations / Windows Settings / Security Settings / Windows Firewall with Advanced Security / Inbound Rules

 

http://powershell.org/wp/2012/08/06/ebook-secrets-of-powershell-remoting/

http://blogs.technet.com/b/heyscriptingguy/archive/2013/11/29/remoting-week-non-domain-remoting.aspx

 

Udostępnianie plików w systemie Windows. Nadawanie uprawnień do zasobów sieciowych

Uprawnienia udostępnianych folderów sieciowych mogą być nadawane na poziomie systemu plików NTFS oraz samego folderu. Poniżej przedstawione są najważniejsze cechy tych rozwiązań oraz przykłady. Dobrą praktyką jest nadawanie uprawnień wyłącznie na poziomie NTFS.

 

Uprawnienia NTFS:
– uprawnienia mogą być nadane plikom i folderom,
– uprawnienia mogą być przyznane użytkownikom i grupom,
– uprawnienia są kumulowane, wygrywa uprawnienie mniej restrykcyjne,
– uprawnienie „odmów” zawsze nadpisuje „zezwalaj”

 

Uprawnienia folderów udostępnianych:
– uprawnienia są nadawane tylko folderom udostępnianym,
– uprawnienia są kumulowane, wygrywa uprawnienie mniej restrykcyjne,
– uprawnienie „odmów” zawsze nadpisuje „zezwalaj”

 

Kumulacja uprawnień NTFS i folderów udostępnianych:
– uprawnienia są kumulowane, nadpisuje („wygrywa”) uprawnienie bardziej restrykcyjne

 

Przykłady:

  1. Użytkownik na poziomie NTFS ma uprawnienie „Odczyt” a na poziomie folderu udostępnionego „Pełna kontrola”. Wynikowym uprawnieniem jest zatem „Pełna kontrola”.
  2. Użytkownik na poziomie NTFS ma uprawnienie „Modyfikacja” a na poziomie folderu udostępnionego „Odczyt”. Wynikowym uprawnieniem jest zatem „Odczyt”.
  3. Użytkownik na poziomie NTFS ma uprawnienie „Odczyt” oraz „Pełna kontrola” a na poziomie folderu udostępnionego „Modyfikacja”. Wynikowym uprawnieniem jest zatem „Modyfikacja” (mniej restrykcyjnym uprawnieniem NTFS jest „Pełna kontrola” – nie „Odczyt”, natomiast folder udostępniony ma uprawnienie „Modyfikacja” dlatego uprawnieniem wynikowym jest „Modyfikacja” – uprawnienie bardziej restrykcyjne).

WordPress – wykonywanie kopii zapasowej

Aby wykonać pełną kopię zapasową strony opartej na WordPress należy:

  1. wyeksportować plik bazy z poziomy phpMyAdmin (patrz wpis: WordPress 4.1 – migracja  na innych serwer (hosting), pkt. 3.  lub za pomoca pluginu BackWPup autorstwa Daniela Huskena (https://wordpress.org/plugins/backwpup/);
  2. z serwera FTP skopiować folder wp-content oraz plik wp-config.php a także .htaccess (o ile istnieje).